【ウイルス解析】標的型攻撃/情報漏洩/遠隔操作ウイルスへの対応
はじめに:情報漏洩を発生させるウイルスが急増しています
近年、情報漏洩を発生させるウイルスが急増しています。流出する情報の中には、顧客(消費者)の個人情報(名前、住所、電話番号、メールアドレス、カード番号等)や資格情報(ユーザ名、パスワード等)等、 一般消費者の生活に大きな影響を与えるものから、防衛関連情報、政治関連情報、設計書や施設の情報等、いわゆる国家や企業の機密情報と呼ばれるものまで、様々な情報が含まれています。
また、これらの情報漏洩を発生させるウイルスの多くは、「メール」または「Web(インターネット)」の何れかを経由して感染をします。
急増する標的型攻撃と遠隔操作ウイルスの組み合わせによる情報漏洩
特定の企業や組織を狙い打ちして、企業情報や機密情報等の不正な取得を目的とした攻撃が流行しており、これらのサイバー攻撃は「標的型攻撃」と呼ばれています。
これらの「標的型攻撃」は、標的とする企業の業務内容や人員や特性等を詳細に分析した上で攻撃が行われ、その殆どが、「情報漏洩(情報搾取)」を目的として実行されます。
また、「標的型攻撃」の初動としては、その多くがメールが利用されます。
差出人を社内の人間や取り引き企業や官公庁等の信頼性のある人に偽装する、税金や配送や注文情報等(AmazonやDHL等)のメールを偽装する、ファイル名も開きやすいものに偽装する等、様々な工夫を凝らして、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンク(URL)をクリックさせるように巧妙に誘導するのが、典型的な攻撃手法となっています。
メールの添付ファイルを開いて感染すると、C&Cサーバと呼ばれる不正な命令やコマンドを発行するインターネット上のWebサーバに接続を行い、さらに別のウイルスのダウンロード、情報の搾取と漏洩、ファイルのダウンロードとアップロード、感染拡大、破壊活動等、様々な不正活動が行われます。
このように、C&Cサーバ等の外部からの指令や操作により様々な動作を行うウイルスは、「遠隔操作ウイルス」「バックドアウイルス」「ボットウイルス」等とも呼ばれます。
また、C&Cサーバへの通信は、通常のWeb(インターネット)通信で使用されるプロトコル・ポート(HTTP、HTTPS等)が使用されることが多く、ファイアウォールやプロキシサーバでの単純なブロックは難しくなってきています。
対岸の火事ではない:狙われる中小企業
以前は、大企業や官公庁等が標的とされていましたが、昨今は、その攻撃範囲が広がりつつあり、より広範囲な企業を対象とし、かつ汎用的な攻撃が行われるようになってきております。
そのため、こういったサイバー攻撃の被害や事件については、どのような規模の企業でも起こり得る問題となってきています。
実際に、弊社にお問い合わせ頂く企業様においても、複数の被害事例が寄せられており、決して対岸の火事ではなくなってきています。
標的型攻撃/情報漏洩/遠隔操作ウイルスへの対応策
昨今のウイルスは、1日に数万または数十万種類のウイルスが作成されていると言われており、その急激な作成スピードやウイルス動作の複雑化等により、従来的な「エンドポイント(クライアントマシン)でのウイルス対策」だけでは限界を迎えつつあります。
そのため、一般的に、以下のような複合的なセキュリティ対策が推奨されております。
■感染を予防する - 複合的なセキュリティ対策を
・メール対策メールゲートウェイ(出入口)に対策製品を導入します。ウイルスメールのブロックみならず、スパムメールや不正なWebリンク(URL)が記載されたメールのブロック、EXEファイル(ダブルクリックして実行できるファイル)の添付禁止等、メールに関する様々な対策を実施できます。
→貴社担当営業またはこちらからお問い合わせください
・Web(インターネット)通信対策
Webゲートウェイ(出入口)に対策製品を導入します。ウイルスファイルのダウンロードのブロックのみならず、不正なWebサイトやC&Cサーバへのアクセスをブロック、アダルト、ゲーム、ギャンブル等、業務で利用すべきではなと判断されたWebサイトへのアクセスをブロック(URLフィルタリング)等、Webに関する様々な対策を実施できます。
→貴社担当営業またはこちらからお問い合わせください
・エンドポイントのウイルス対策
より検出率が高い世界トップレベルのウイルス検出率を誇るウイルス対策製品を導入する
→管理サーバ不要のSaaSタイプのウイルス対策製品もご用意しております。詳細はこちらをご覧ください。
・エンドポイントの脆弱性対策
Windows OSやAdobe社のReaderやFlash PlayerやOracle社のJava等の有名製品の脆弱性を悪用した標的型攻撃やウイルスも多数確認されておりますため、定期的な脆弱性対策も効果が高いと考えられます。
→低コストかつ簡単導入可能な脆弱性診断サービスをご用意しております。詳細はこちらをご覧ください。
しかしながら、昨今の標的型攻撃は非常に巧妙化しており、完全に防ぐことが難しくなってきているのが現状です。
そのため、弊社としては、上記と併せて、以下のような、感染してしまった場合の対応策も事前にご検討頂くことを推奨させて頂いております。
■感染してるかも? - 未知のウイルスの感染有無を調査する
マシンやネットワークに不審な動作が見られる等、もしウイルスに感染しているような兆候があった場合には、未知のウイルスにマシンが感染している可能性があります。そのため、ご利用のマシンの感染有無を調査して頂くことを推奨させて頂きます。そのようなお客様のために、弊社では、感染有無を調査するためのツールをご用意しております。詳細はこちらをご覧ください。
■感染してしまったら? - 情報漏洩動作の有無を確認する
感染してしまった場合には、その次の対応として、事後の対策(漏洩した情報の詳細、特定機関への報告、顧客への公表等)の必要性を判断する必要があると考えられます。しかしながら、実際に漏洩した具体的な情報(侵入経路、漏洩した期間、ユーザ名やパスワード等の実際の顧客情報の値、ファイル名やファイルパス、漏洩件数等)については、ウイルスの挙動や動作から明確にすることは基本的に困難であり、それらを明確にする場合には、一般的には、専門業者によるフォレンジックと呼ばれる特殊な調査・解析が必要になります。しかしながら、フォレンジック調査には、一般的には、非常に多くのコスト(人員・時間・費用等)がかかります。
そのため、「多大なコストをかけて漏洩した情報の詳細調査(フォレンジック調査等)が必要か否か?」を判断するための基準の一つとして、「感染したウイルスは情報漏洩をするタイプか」「どのような情報を漏洩するタイプなのか」といった「ウイルス動作・挙動の確認」が挙げられると考えられます。
弊社の「ウイルス解析サービス」であれば、このような「ウイルス動作・挙動の確認」について、比較的コストを抑えつつ、短期間で調査することが可能でございます。詳細はこちらをご覧ください。
ウイルス解析サービスでできること
本サービスは、上述の「感染してしまったら? - 情報漏洩動作の有無を確認する」にもございます通り、「多大なコストをかけて漏洩した情報の詳細調査(フォレンジック調査等)が必要か否か?」を判断するための基準の一つとして、情報漏洩動作の有無を含めたウイルスの詳細動作の情報をご提供するサービスとなります。
ウイルスの検体ファイルや感染時の状況をご連絡頂き、ウイルス対策メーカーと連携してウイルス動作・挙動を解析して、結果をレポート形式で提出させて頂きます。
■ご提供可能な情報例
1.情報漏洩の有無と、漏洩する情報の詳細(オンラインバンキング情報、マシン情報、ユーザ名やパスワード等)2.通信の有無と、通信の接続先(プロトコル、ポート番号、URL等)
3.脆弱性利用の有無と、脆弱性の情報
4.作成されるファイルやレジストリの情報
5.想定される侵入経路(基本的にはご提供頂いた情報から確認できる限りの想定・推測ベースでの情報となります)
■解析に必要な情報
1.ウイルスの検体ファイル (※ウイルス対策製品等で暗号化されていない状態の実ファイル)2.検体ファイルが存在したマシン上のファイルパス
3.確認されている不審な動作
例)
・マシン起動時に不審なメッセージや画面が表示される
・マシンのCPU利用率が常に100%になっている
・ウイルス対策製品が起動しない
・タスクマネージャやレジストリエディタが起動しない
・定期的に不審なドメイン(「*.com」や「*.info」等)への接続が確認されている
4.ご利用のウイルス対策製品とバージョン(※)
5.ご利用のOSとSPとビット(※)
例)
・Windows 7 SP1 (32bit)
・Windows XP SP3 (32bit)
(※)本サービスは、ご利用の製品(ウイルス対策製品等)やOSを問わず、ご利用可能でございます。よりスムーズな解析のため、念のための情報提供として、お願いさせて頂いております。
ウイルス調査ツールでできること
ご利用のマシンがウイルスに感染しているかどうかを調査するための、弊社独自の調査用ツールとなります。
マシンがウイルスに感染した場合、特徴的な動作やシステムの改変が行われます。それらの情報を取得して、弊社で解析を行い、ウイルスと疑われるファイルの特定を行います。
本ツールの詳細はこちらをご覧ください。
(※)本ツールは、基本的にはご利用の製品(ウイルス対策製品等)は問いませんが、ご利用のOSやご契約状況については要件がある場合がございます。詳細については、貴社担当営業またはこちらからお問い合わせください。
脆弱性診断サービスでできること
弊社の「脆弱性診断サービス」では、Windows OSやAdobe社のReaderやFlash PlayerやOracle社のJava等、脆弱性を狙われやすい有名製品の脆弱性対策を目的としております。
低コストかつ簡単導入を目指したものとなっており、インストールに管理者権限が不要、マシンやNWのリソース使用率が低い、他社製品との競合発生率が低い、殆どのお客様にて専用の管理サーバの構築や新規購入が不要等の特徴がございます。
本サービスの詳細はこちらをご覧ください。
お問い合わせ
貴社担当営業またはこちらまでお問い合わせ頂けますでしょうか。